我们的网络中有大约 1600 个活动节点和 6000 名学生,并且我们拥有强大的 Cisco 主干网,我们有 8 个院系(他们有站点和无线接入点)和 10 个中心(如医院)。
我们需要使用 MS AD 组织我们的网络,第一步,拥有一个具有强大服务器的根 AD 可能是我们的解决方案,但根据我们的研究,我认为我们需要一个分层 AD,我们应该有一个森林(shahed.ac.ir)和 18 棵树作为子中心(如:eng.shaed.ac.ir)。
此外,我们将使用 squid 服务器进行缓存,并使用其延迟池来共享互联网(40mb)和 NTLM 身份验证。
您觉得这个计划怎么样?这个解决方案适合我们的网络吗?我们需要为这个解决方案(AD)配备一个 LOM,这个计划最重要的是什么(服务器的 CPU、RAM、硬盘……)?(我们打算购买 HP DL380)
请帮帮我。
答案1
您不希望,也可能不需要管理多个 Active Directory 域。基本上,如果可以的话,您总是希望避免多域 AD 部署。(而且您真的想要避免多林部署......)
在 Windows 2000 或 Windows 2003 Active Directory 中,当存在需要不同密码策略的不同用户组时,需要使用多个域。Windows 2008 Active Directory 可以具有细粒度的密码策略,从而消除了这种需要。
在 Windows 2000 - 2008 Active Directory 中,使用多个域将 AD 数据库划分为较小的复制单元也是一个合理的原因。用户数少于 10,000 的 Active Directory 实际上并不大。您可能不需要使用多个域来划分复制。
以特定方式读取用户名(即[电子邮件保护]相对[电子邮件保护]) 可以在具有备用用户主体名称 (UPN) 后缀的单个域中完成,并且并不是部署多域基础架构的正当理由。
使用 Squid 和 NTLM 身份验证是验证 Internet 访问的完美解决方案。Server Fault 无法根据您上面提供的信息合理地确定 Squid 服务器计算机和 Active Directory 域控制器计算机的大小。Microsoft 有一个Active Directory 规模调整工具,但它已经好几年没有更新了(无论是更新 Windows 版本还是更新服务器硬件规格)。
答案2
在这样的环境中,您确实需要更多地考虑身份管理,而不是实际的用户目录机制本身。它们都可以轻松扩展到这个规模。
您应该问自己有关帐户生命周期以及组织中帐户配置和角色的业务规则。如何创建、修改和删除帐户?您不打算手动操作,对吗?
就您的边界而言,我是 freebsd 的粉丝;我可能会使用一对简单的 pf 防火墙和 carp 来进行故障转移,并使用透明代理尽可能减少网络利用率。